Può il datore di lavoro monitorare la navigazione internet del dipendente?
Il datore di lavoro non può monitorare la navigazione in Internet del dipendente. Il Garante privacy ha vietato a una società l’uso dei dati relativi alla navigazione in Internet di un lavoratore che, pur non essendo autorizzato, si era connesso alla rete da un computer aziendale. Il datore di lavoro, dopo aver sottoposto a esame i dati del computer, aveva accusato il dipendente di aver consultato siti a contenuto religioso, politico e pornografico, fornendone l’elenco dettagliato.
Per contestare l’indebito utilizzo di beni aziendali, afferma il Garante nel suo provvedimento, sarebbe stato in questo caso sufficiente verificare gli avvenuti accessi a Internet e i tempi di connessione senza indagare sui contenuti dei siti. Insomma, altri tipi di controlli sarebbero stati proporzionati rispetto alla verifica del comportamento del dipendente.
“Non è ammesso spiare l’uso dei computer e la navigazione in rete da parte dei lavoratori”, commenta Mauro Paissan, componente del Garante e relatore del provvedimento. “Sono in gioco la libertà e la segretezza delle comunicazioni e le garanzie previste dallo Statuto dei lavoratori. Occorre inoltre tener presente che il semplice rilevamento dei siti visitati può rivelare dati delicatissimi della persona: convinzioni religiose, opinioni politiche, appartenenza a partiti, sindacati o associazioni, stato di salute, indicazioni sulla vita sessuale”.
Nel caso sottoposto al giudizio del Garante, dopo una prima istanza, senza risposta, rivolta alla società, il lavoratore aveva presentato ricorso al Garante contestando la legittimità dell’operato del datore di lavoro.
La società aveva allegato alla contestazione disciplinare notificata al lavoratore, in seguito licenziato, numerose pagine dei file temporanei e dei cookies originati sul suo computer dalla navigazione in rete, avvenuta durante sessioni di lavoro avviate con la password del dipendente. Da queste pagine, copiate direttamente dalla directory intestata al lavoratore, emergevano anche diverse informazioni particolarmente delicate che la società non poteva raccogliere senza aver prima informato il lavoratore. Sebbene infatti i dati personali siano stati raccolti nel corso di controlli informatici volti a verificare l’esistenza di un comportamento illecito, le informazioni di natura sensibile, in grado di rivelare ad esempio convinzioni religiose e opinioni sindacali o politiche, potevano essere trattate dal datore di lavoro senza consenso solo se indispensabili per far valere o difendere un diritto in sede giudiziaria. Indispensabilità che non è emersa dagli elementi acquisti nel procedimento.
Illecito anche il trattamento dei dati relativi allo stato di salute e alla vita sessuale. Secondo il Codice della privacy infatti tale tipo di trattamento può essere effettuato senza consenso, solo se necessario per difendere in giudizio un diritto della personalità o un altro diritto fondamentale. La società in questo caso intendeva invece far valere diritti legati allo svolgimento del rapporto di lavoro.
Visita la pagina della consulenza privacy per maggiori informazioni
Quello appena riportato, uno dei tanti casi di violazione della privacy di un dipendente del quale si abbiano notizie, risale ormai al 14 febbraio 2006.
Da allora, la normativa in materia di controlli a distanza sugli impianti e sugli strumenti di lavoro, aventi per oggetto la tutela del patrimonio delle aziende, delle sue esigenze produttivo-organizzative e della sicurezza del lavoro (l’articolo 4 dello Statuto dei lavoratori) è stata modificata profondamente.
Infatti, per effetto del D.lgs. 151/2015, parte del cosiddetto Jobs Act:
- è stato abolito il generale divieto di utilizzare impianti audiovisivi (o, in loro assenza, apparecchi simili) per il controllo dei lavoratori in servizio;
- sono stati legittimati i cosiddetti controlli difensivi (che, seppur con certi limiti, erano già previsti dalla giurisprudenza);
- sono stati ammessi i controlli realizzati tramite il dispositivo (vale a dire il computer, il tablet o lo smartphone) utilizzato dal personale dipendente per svolgere le proprie mansioni, oppure mediante gli strumenti di registrazione di accesso e presenza (come ad esempio il badge).
Quest’ultima disposizione, però, non legittima il controllo indiscriminato dei lavoratori: infatti, l’azienda può effettuare questo tipo di controlli soltanto tramite le normali funzionalità dei dispositivi forniti ai propri dipendenti per il servizio, e non, ad esempio, installandovi software concepiti specificamente per il loro monitoraggio. Non solo: i dati così raccolti devono essere utilizzati dall’azienda unicamente per motivi e finalità connessi al rapporto di lavoro, e, comunque, una volta che il lavoratore ne sia stato messo a conoscenza mediante un’adeguata informativa.
Il Decreto, insomma, tutela il lavoratore dal rischio che il suo datore di lavoro esamini – o, addirittura, stampi – il contenuto delle ricerche effettuate mediante il browser del suo computer (come nel caso specifico riportato in apertura), ma introduce la possibilità del controllo dell’adempimento della prestazione lavorativa.
In altri termini, grazie a questo regolamento, il datore di lavoro ottiene la facoltà di controllare che i propri dipendenti svolgano effettivamente le mansioni loro assegnate, e – indirettamente – di utilizzare le informazioni così raccolte per prendere eventuali provvedimenti disciplinari.